[crack] che rottura

Salve,
i soliti nullafacenti, tanto per ammazzare il tempo, hanno nuovamente hackerato il mio portale radioamatori.altervista.org . Ora, forse per far passare le loro malefatte in opere di bene, si prendono pure la briga di avvisare che il sito ha un bug di sicurezza.
Stavolta mi stanno anche impedendo di accedere all'admin del sito con il mio username e password che ho usato fino a ieri, pur riuscendo a usare gli stessi dati di login con tutto il resto su altervista (forum, ftp).
Preciso di non aver fornito ad alcuno tali dati, nè di aver inavvertitamente risposto ad email-fishing quindi la loro perdita e/o sostituzione è solo opera dei nostri eroi e delle loro intrusioni sui server altervista.
C'è un modo per rientrare nell'admin del portale ?

[lupo91]

Se per quello basta anche inviarti uno spy-ware.

Comunque li puoi sempre denunciare.

[funcool]

Non hai la password del tuo account su AlterVista?

Non hai la password del tuo account su AlterVista?

Non riesco a entrare nell'admin del portale. Con gli stessi dati (username e password), invece, riesco (almeno per ora...) a fare il login su www.altervista.org e quindi ad accedere ai files del mio portale. Non essendo però io un esperto, non sono capace di ripristinare tutto attraverso questa strada. Sarei invece capace di farlo entrando nell'admin del portale come ho sempre fatto, cioè dal portale stesso. Ma cos' facendo non mi vengono riconosciuti i dati di login.

Denunciarli ? A che serve ?!?

[Ospite]

Nel pannello AV,sezione tools c'è un tool per il ripristino del backup del db.
Ripristina l'ultimo dump.
Se ti hanno cancellato i files,basta riupparli.
Per sicurezza,se la password del tuo account qui su AV è la stessa dell'account amministratore nel tuo portale,cambiala.

Nel pannello AV,sezione tools c'è un tool per il ripristino del backup del db.
Ripristina l'ultimo dump.
Se ti hanno cancellato i files,basta riupparli.

fatto, ma niente :-(
ho cancellato tutto il contenuto del mio spazio su altervista (cartelle e sottocartelle con relativi files), ho ri-uppato la copia di backup che ho da parte (aggiornata all'ultimo attacco di fine maggio scorso), ma la pagina iniziale php con la firma dell'hacker di turno non è cambiata.
Ho provato a ripristinare il backup dal pannello tools di AV, ma non succede nulla neanche così.
Cosa mi resta ? Tornare al caro vecchio html ?

Aggiungo: in sostanza credo che il nullafacente (almeno lo pagassero per rompere le scatole a siti non a scopo di lucro...) si sia sostituito a me quale amministratore del portale. Infatti, registrandomi nuovamente al portale e accedendo all'elenco degli iscritti, lo vedo tra questi , prima con username "owned" , poi con username "Bl4cKM4g1c".
E' possibile tecnicamente ripristinare la situazione ?

[funcool]

Basta che cancelli il file "index.html".

[Ospite]

Mmh...ma il backup che hai ripristinato è stato effettuato dopo l'attacco di Maggio e prima del ritorno allo stato funzionante?
Perchè potrebbe essere che la scritta con la firma dell'hacker si trovi sulla vecchia index che hai ripristinato.
Controlla nel codice :)

Mmh...ma il backup che hai ripristinato è stato effettuato dopo l'attacco di Maggio e prima del ritorno allo stato funzionante?
Perchè potrebbe essere che la scritta con la firma dell'hacker si trovi sulla vecchia index che hai ripristinato.
Controlla nel codice :)

la firma che è stata messa stavolta, con relativa immagine, è diversa da quella messa a fine maggio.
Credo che il tizio abbia backupato lui stesso il databease subito dopo questo attacco, così, se tento di ripristinare in realtà ripristino la situazione immediatamente successiva all'attacco ! (il backup del db infatti risulta con data 28 luglio, e non sono stato io a farlo)


EDIT:

Basta che cancelli il file "index.html".

scusa, cosa pensi che otterrei in questo modo ?
non sono un esperto, ma neanche un pirla

[funcool]

Elimineresti la pagina, che ha creato il presunto hacker, che si vede quando entri nel tuo sito.

P.S.: Non scrivere due messaggi consecutivi, utilizza il tasto Edita.

Elimineresti la pagina, che ha creato il presunto hacker, che si vede quando entri nel tuo sito.

No, se elimino la pagina html, ottengo solo il caricamento della pagina index.php , in cui è visibile la firma e l'immagine lasciate dal nullafacente.
Pagina che ora ho provveduto a cancellare, per evitarne la visione.
Magari sarà un presunto hacker, ma che sia un nullafacente è ormai acclarato.

[funcool]

Lo so che si carica la pagina "index.php" se cancelli la pagina "index.html", ma da quello che avevi scritto prima avevo capito che avevi risolto il problema del CMS bucato.

No, se elimino la pagina html, ottengo solo il caricamento della pagina index.php , in cui è visibile la firma e l'immagine lasciate dal nullafacente.
Pagina che ora ho provveduto a cancellare, per evitarne la visione.
Magari sarà un presunto hacker, ma che sia un nullafacente è ormai acclarato.

Scusa, carica di nuovo il file "index.php" originale del cms, cancelli quello in html e dovrebbe andare...almeno con mkportal anche se metti un index della stessa versione va lo stesso...

Scusa, carica di nuovo il file "index.php" originale del cms, cancelli quello in html e dovrebbe andare...almeno con mkportal anche se metti un index della stessa versione va lo stesso...

ho da parte una copia di backup di tutte le cartelle, aggiornata a maggio 2007. Ho appena fatto come hai suggerito, copiando via FTP il file index.php (maggio 2007) nella cartella principale del mio sito e ho cancellato il file index.html. Risultato (come prevedevo): zero. Ricompare sempre la pagina iniziale del portale con firma del delinquente e immagine da egli inserita.
Temo purtroppo che il problema sarebbe risolvibile solo se io potessi entrare come admin nel mio portale, ma questo mi è impedito dal fatto che il delinquente ha cancellato il mio account di admin.

Prima di buttare via tutto, a chi potrei sporgere denuncia con qualche minima speranza che la denuncia venga almeno letta ?

[powser]

hai fatto una copia di backup del sito, ma non del db, mentre ceri potevi fare anche quella
il backup del database di altervista è automatico e ogni settimana, hai avuto sfortuna che av ha aggiornato il backup proprio il giorno dopo l'attacco.

Se posti la pagina con l'attacco, forse si può capire meglio la situazione

hai fatto una copia di backup del sito, ma non del db, mentre ceri potevi fare anche quella
il backup del database di altervista è automatico e ogni settimana, hai avuto sfortuna che av ha aggiornato il backup proprio il giorno dopo l'attacco.

Se posti la pagina con l'attacco, forse si può capire meglio la situazione

Infatti, è proprio lì il problema, nel database. I file php , anche se immacolati, non fanno che indirizzare a dati presenti nel database e proprio lì non riesco a entrare, per il motivo scritto sopra.
Se si è trattato di sfortuna, parlerei allora si s f i g a nera, perchè l'attacco è stato effettuato il 28 luglio ! Tendo più a pensare che il database, più che sovrascritto dalle operazioni automatiche di backup, sia stato modificato volutamente dal delinquente, per impedirmi di riprendere il controllo della situazione.
La pagina con l'attacco è radioamatori.altervista.org/index.php ma al momento vedi solo un messaggio di errore perchè l'ho volutamente cancellata. Non credo ci sia nulla in quella pagina che possa aiutare a capire meglio la situazione. Come hai scritto, il problema è altrove, cioè nel database.
Comunque riporto con copia&incolla il testo della firma illegalmente inserita nella pagina suddetta:


HACKED BY BL4CK M4G1C


"Sic Itur Ad Astra..."

HacKeD By Bl4Ck M4G1c This WebSite is Vulnerable. Admin, Please Fix The Bug. Non sono stati rimossi dati/directory dal sito. Si prega di dedicare pi� cura alla sicurezza del proprio Sito. Vale.

Temo purtroppo che il problema sarebbe risolvibile solo se io potessi entrare come admin nel mio portale, ma questo mi è impedito dal fatto che il delinquente ha cancellato il mio account di admin.

hai accesso al tuo phpmyadmin ?
ricreati un administrator
è molto semplice
se non sei in grado ti spiego come
>>phpmyadmin
>>tabella nuke_authors
>>controlla la pass del god admin ...cambiala :P inserendo un md5 di tua conoscenza

0c88028bf3aa6a6a143ed846f2be1ea4
questa ad esempio è : pippo

poi naturalmente dopo che sei entrato nell'admin.php cambiati la password


inoltre ti consiglierei di seguire questi semplici passi per la messa in sicurezza del tuo cms
http://www.phpnukemaximus.it/maxit/m...iewtopic&t=927
e magari proteggere la tua cartella di amministrazione con la funzione lucchetto o con l'htaccess
- ricordati di aggiornare tutti i bug (se mi fai vedere il sito ti potrei consigliare cosa puoi pacthare )

ciao

hai accesso al tuo phpmyadmin ?
ricreati un administrator
è molto semplice
se non sei in grado ti spiego come
>>phpmyadmin
>>tabella nuke_authors
>>controlla la pass del god admin ...cambiala :P inserendo un md5 di tua conoscenza

Ti prometto pubblicamente eterna riconoscenza per la dritta risolutiva che mi hai passato
Ho seguito passo passo il tuo suggerimento e per ora ho risolto il problema.
Adesso il sito è nuovamente visibile. Fammi sapere se e dove è possibile patchare. Parti però dal presupposto che non sono un esperto, quindi eventuali interventi devo prima conoscerli, capirli e poi saperli mettere in pratica
Vado a vedere il link che mi hai passato in merito alla messa in sicurezza del CMS.
Grazie !!

[funcool]

Dovresti verificare di avere l'ultima versione del CMS che utilizzi e aggiornarla.
Poi dovrai cancellare il file "index.html".

Ti prometto pubblicamente eterna riconoscenza per la dritta risolutiva che mi hai passato
Ho seguito passo passo il tuo suggerimento e per ora ho risolto il problema.
Adesso il sito è nuovamente visibile. Fammi sapere se e dove è possibile patchare. Parti però dal presupposto che non sono un esperto, quindi eventuali interventi devo prima conoscerli, capirli e poi saperli mettere in pratica
Vado a vedere il link che mi hai passato in merito alla messa in sicurezza del CMS.
Grazie !!

prego
indicami cortesemente la versione che usi


- elimina il modulo top10 fisicamente dal tuo spazio o patchalo

perfavore indicami la versione che usi

non usare password sensibili (molto probabilmente avevi usato la stessa del pannello di av)

- cambia entrambe le password sia di admin nuke che del pannello av
le password devono essere difficili !! > 6 caratteri in maiuscolo e minuscolo magari usa anche caratteri speciali e numerici

@ funcool
purtroppo per phpnuke non funziona così :green:
aggiornarlo alla ultima versione non porterebbe a correggere bug ma ad aggiungerne di nuovi la risoluzione sarebbe portarlo ad una stable 7.7 con un modulo security guardian

misteri di phpnuke... bug su bug e ancora bug non corretti